El popular editor de texto de código abierto Notepad++ ha revelado un sofisticado ataque a la cadena de suministro que permitió a presuntos hackers patrocinados por el estado chino secuestrar su mecanismo de actualización y distribuir malware a usuarios específicos entre junio y diciembre de 2025. La revelación, detallada en un aviso de seguridad publicado esta semana, ha causado conmoción en la comunidad de desarrolladores, ya que millones dependen de este ligero editor de código para sus tareas de programación diarias.
Según la divulgación, los atacantes comprometieron la infraestructura del proveedor de alojamiento en lugar del código fuente de Notepad++, lo que les permitió interceptar y redirigir el tráfico de actualización destinado a notepad-plus-plus.org. El aviso indicó que el tráfico de ciertos usuarios específicos fue selectivamente redirigido a servidores controlados por los atacantes que servían manifiestos de actualización maliciosos, resultando en la descarga de archivos ejecutables comprometidos en los sistemas de las víctimas en lugar de actualizaciones legítimas.
El investigador de seguridad Kevin Beaumont fue el primero en reportar actividad inusual que afectaba a usuarios de Notepad++, señalando que los ataques se dirigían específicamente a empresas de telecomunicaciones y servicios financieros en Asia Oriental. Beaumont observó que las víctimas eran organizaciones con intereses en Asia Oriental y que la actividad parecía muy dirigida, con actividad de reconocimiento manual que comenzó hace aproximadamente dos meses. Varios investigadores de seguridad independientes han evaluado que el actor de amenazas es probablemente un grupo patrocinado por el estado chino, lo que explicaría la selectividad altamente específica observada durante la campaña.
La cronología del ataque revela que los actores maliciosos obtuvieron acceso inicial al servidor de alojamiento compartido en junio de 2025. Aunque el servidor se sometió a mantenimiento programado con actualizaciones de kernel y firmware el 2 de septiembre que cortaron el acceso directo al servidor, los atacantes mantuvieron credenciales robadas de servicios internos hasta el 2 de diciembre, permitiéndoles continuar redirigiendo el tráfico de actualización a servidores comprometidos. Todas las medidas de remediación y fortalecimiento de seguridad fueron completadas por el proveedor de alojamiento el 2 de diciembre de 2025.
En respuesta a la brecha, Notepad++ ha migrado a un nuevo proveedor de alojamiento con prácticas de seguridad significativamente más robustas y ha lanzado la versión 8.8.9 con mejoras de seguridad críticas. El componente actualizador WinGUp ahora verifica tanto el certificado como la firma de los instaladores descargados, y los manifiestos de actualización XML están firmados digitalmente mediante XMLDSig. A partir de la próxima versión 8.9.2, la verificación de certificado y firma será obligatoria. Se insta encarecidamente a los usuarios a actualizar inmediatamente.
Comentarios